GitHub kôd koji koristite za izradu trendovske aplikacije ili zakrpe postojeće greške možda se koristi za krađu vašeg Bitcoin (BTC) ili drugih kripto udjela, navodi se u izvješću Kaspersky.
GitHub je popularan alat među programerima svih vrsta, ali još više među projektima usmjerenim na kriptovalute, gdje jednostavna aplikacija može ostvariti milijune dolara prihoda.
Izvještaj upozorio je korisnike na kampanju „gitvenom“ koja je aktivna najmanje dvije godine, ali u stalnom je porastu, uključujući sadnju zlonamjernog koda u lažne projekte na popularnoj platformi skladišta koda.
Napad započinje naizgled legitimnim GitHub projektima – poput izrade telegramskih botova za upravljanje Bitcoin novčanikom ili alata za računalne igre.
Svaka dolazi s poliranom datotekom ReadMe, često generiranom za izgradnju povjerenja. Ali sam kôd je trojanski konj: za projekte temeljene na Pythonu, napadači skrivaju gadnu skriptu nakon bizarnog niza od 2.000 kartica, koje dešifrira i izvršava zlonamjerni opterećenje.
Za JavaScript je u glavnu datoteku ugrađena skitnička funkcija, što pokreće napad lansiranja. Jednom aktiviran, zlonamjerni softver povlači dodatne alate iz zasebnog github spremišta pod kontrolom hakera.
(Kartica organizira kôd, čineći ga čitljivim usklađivanjem linija. Pomodljiv opterećenje je temeljni dio programa koji u slučaju zlonamjernog softvera čini stvarni posao – ili štetu.)
Nakon što se sustav zarazi, razni drugi programi pokreću kako bi izvršili eksploataciju. Node.js ukradeni berbe lozinke, detalje kriptovaluta i povijest pregledavanja, zatim ih paketi i šalje putem Telegrama. Trojanci na daljinskom pristupu poput Asyncrat i Quasar preuzimaju uređaj žrtve, zapisivanje ključeva i snimanje snimki zaslona.
“Clipper” je također zamijenio kopirane adrese novčanika s vlastitim hakerima, preusmjeravanjem sredstava. Jedan takav novčanik zarezao je 5 BTC – vrijedan 485.000 dolara – samo u studenom.
Aktivan najmanje dvije godine, Gitvenom je najteže pogodio korisnike u Rusiji, Brazilu i Turskoj, iako je doseg globalnog, po Kasperskyju.
Napadači ga drže prikrivenim oponašanjem aktivnog razvoja i mijenjajući taktiku kodiranja kako bi izbjegli antivirusni softver.
Kako se korisnici mogu zaštititi? Pregledavanjem bilo kojeg koda prije nego što ga pokrenete, provjeri autentičnosti projekta i sumnjivim u pretjerano poliranu ponovnu ili nedosljednu povijest počinjenja.
Budući da istraživači ne očekuju da će se ovi napadi uskoro zaustaviti: “Očekujemo da će se ovi pokušaji nastaviti u budućnosti, možda s malim promjenama u TTPS -u”, zaključio je Kaspersky u svom postu.
